DNS

Introducción

Como parte de nuestro compromiso de combatir proactivamente el abuso contra los nombres de dominio, y hacer de él uno de los espacios de nombres más seguros y confiables de Internet, el ccTLD “.CO” cuenta con capacidad “DNSSEC” desde el 2011.

DNSSEC es un conjunto de especificaciones técnicas para asegurar ciertos tipos de información provista por el DNS, y que permiten proteger a los usuarios de Internet contra ataques maliciosos y/o malintencionados tales como suplantación de identidad, integridad de datos, y riesgos inherentes a que los usuarios sean redirigidos a sitios Web indeseados o inseguros. Las extensiones DNSSEC proveen tres (3) funcionalidades básicas:

• Autenticación de Origen de Datos – asegura que los datos son recibidos del servidor DNS autorizado; puede proteger de ataques de suplantación de identidad.
• Integridad de Datos – asegura que los datos recibidos coinciden con los del servidor DNS de origen y no son modificados durante el tránsito; protege de ataques de polución tipo “hombre-en-el-medio”.
• Denegación de Existencia Autenticada – asegura que una respuesta como “No existente” sea válida.

Los siguientes documentos RFC definen el marco técnico de referencia asociado a las extensiones DNSSEC:

• RFC 4033: Seguridad DNS – Introducción y Requerimientos
• RFC 4034: Registros de Recursos para las Extensiones de Seguridad DNS
• RFC 4035: Modificaciones de Protocolo para las Extensiones de Seguridad DNS
• RFC 4641: Prácticas Operacionales DNSSEC
• RFC 5155: Introduce un registro de recurso alternativo, NSEC3, que provee medidas adicionales contra enumeración de zona y permite expansión gradual de zonas de delegación céntrica
• RFC 5910: Mapeo de Extensiones de Seguridad DNS para el Protocolo Extensible de Aprovisionamiento.

Existen diversos sitios Web y tutoriales para conocer en detalle la importancia de las extensiones DNSSEC. Hemos consolidado en esta sección algunos detalles técnicos básicos así como tutoriales y enlaces a contenido más profundo.

Presentaciones y Libros Blancos

Una Introducción a DNSSEC (PDF) – Marzo 2012

¿Por qué DNSSEC es importante? DNSSEC puede ayudar a mitigar los riesgos de envenenamiento de caché descritos en el siguiente video, provisto por cortesía de Cricket LIU, VP de INFOBLOX:

Ejemplo de un ataque común de envenenamiento de caché DNS? Fuente: INFOBLOX Inc. en VIMEO.

Los siguientes enlaces contienen documentación y recursos adicionales relativos a educación y capacitación en DNSSEC:

• INFOBLOX – Centro de Seguridad DNS
• Secure64 – Centro de Recursos DNSSEC
• Proyecto “Practice Safe DNS”
• NeuStar – Recursos DNSSEC
• DNSSEC.net
• DNSStuff.com
• Proyecto “Despliegue DNSSEC” de ISOC
• Seminario WEB de INFOBLOX – Envenenamiento de Caché y DNSSEC: Una mirada a las amenazas al DNS y cómo DNSSEC las maneja (se requiere registro en el sitio)

Descargo de responsabilidad: contenidos y enlaces (URL´s) de terceros o enlaces se suministran sólo para su conveniencia e información; no implica aprobación, patrocinio, o afiliación con .CO INTERNET S.A.S. Sitios web vinculados no están bajo nuestro control; .CO Internet S.A.S. no se hace responsable de su disponibilidad, contenido, publicidad, productos o materiales, incluidos nuevos vínculos en un sitio de terceros. Para obtener más información, consulte los Términos y Condiciones de .CO INTERNET S.A.S.